Hallo zusammen.

Mein Bruder hat sich gestern auf seinem PC den AKM Trojaner eingefangen, welcher 50€ verlangt, damit der PC wieder freigegeben wird.

Dadurch das der PC nun nicht am Netz hing bekam ich beim Login immer einen Fehler in Vollbildformat, dass die Seite zurzeit nicht erreichbar ist.

Ich habe bereits mittels OTLPENet den PC gestartet und sämtliche Einstellungen so gelassen wie sie sind und auf Run Scan geklickt. Einzig alleine beim Start der OTL.exe habe ich nebst dem Hauptprofil auch das Häkchen gesetzt, alle anderen Profile ebenfalls nachzuladen.
Hab im Log die Usernamen verfremdet (user1, user2...)

Anbei das Log

Mfg

hi
passe im script die nutzernamen an, sonst läuft es nciht
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - Startup: C:\Users\user2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0_0u_l.exe.lnk ()
O4 - Startup: C:\Users\user1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\0_0u_l.exe.lnk ()
O20:64bit: - HKLM Winlogon: Shell - (C:\Users\user1\AppData\Local\Temp\0_0u_l.exe) - C:\Users\user1\AppData\Local\Temp\0_0u_l.exe ()
:Files
:Commands
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hi nach dem Fix mit dem OTL Script scheint alles wieder problemlos zu laufen. Der Desktop wird mit Symbolen angezeigt.
Hab jetzt auch sicherheitshalber mal den Browsercache ebenfalls gelöscht.

Der Upload über den Uploadchannel hat problemlos funktioniert.

Sind noch irgendwelche Schritte notwendig? Wenn nicht, danke für die Hilfe!

EDIT: War ein wenig voreilig. So wie es aussieht funktioniert der Rechtsklick mit der Maus nicht mehr sowie die dazugehörige Taste, wenn ich es am Desktop oder im Explorer probiere. Im Browser sowie anderen Anwendungen scheints zu funktionieren.

EDIT2: läuft jetzt wieder nachdem ich Malwarebytes Antimalware drüberlaufen habe lassen. Hatte noch die Registry Einträge korrigiert und weitere Dateien gefunden.

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.07.01.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
user :: PC-Name [Administrator]

01.07.2012 18:47:43
mbam-log-2012-07-01 (18-47-43).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 394622
Laufzeit: 12 Minute(n), 17 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Users\user\AppData\Roaming\svchost (Trojan.Agent.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 3
C:\RECYCLER\S-1-5-18\Dc6\C_Users\user\AppData\Local\Temp\0_0u_l.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\07012012_170054\C_Users\user\AppData\Local\Temp\0_0u_l.exe (Backdoor.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\user\AppData\Roaming\cglogs.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         

Mfg

hatte ich irgendwas vom leeren des caches oder scan mit Malwarebytes geschrieben? wenn du hilfe willst, dann mach bitte nur das was hier steht, sonst hat diese arbeit die ich mir mache wenig sinn, teile mir mit, ob du allein weiter arbeiten willst oder nicht.
falls nicht:
hi
für eine weitere analyse benötige ich mal folgendes.
c:\Users\name\AppData\LocalLow\Sun\Java\Deployment\cache
dort rechtsklick auf den ordner cache, diesen mit winrar oder einem anderen programm packen, und im upload channel hochladen bitte
wenn fertig, bescheid geben bitte